Nejčastější dotazy k cílové zóně Azure

Tento článek odpovídá na nejčastější dotazy k architektuře cílových zón Azure.

Nejčastější dotazy k implementaci architektury cílových zón Azure najdete v nejčastějších dotazech k implementaci na podnikové úrovni.

Co je akcelerátor cílových zón Azure?

Akcelerátor cílové zóny Azure je prostředí pro nasazení založené na webu Azure Portal. Nasadí na základě konceptuální architektury cílové zóny Azure cílovou implementaci.

Jaké jsou doporučené akcelerátory a implementace cílových zón Azure?

Microsoft aktivně vyvíjí a udržuje akcelerátory platforem a aplikací a implementace v souladu s principy návrhu cílové zóny Azure a pokyny k oblasti návrhu.

Projděte si pokyny k nasazení cílových zón Azure, kde najdete další informace o doporučených cílových zónách platformy a aplikací.

Informace o přizpůsobení nasazení cílových zón Azure podle vašich potřeb najdete v tématu Přizpůsobení architektury cílové zóny Azure podle požadavků.

Tip

Pokud chcete požádat o přidání do seznamu akcelerátorů a implementací, vytvořte problém GitHubu v úložišti ALZ.

Jaká je koncepční architektura cílové zóny Azure?

Koncepční architektura cílové zóny Azure představuje rozhodnutí o škálování a vyspělosti. Vychází z poznatků získaných a zpětné vazby od zákazníků, kteří přijali Azure jako součást jejich digitálních aktiv. Tato koncepční architektura může vaší organizaci pomoct nastavit směr návrhu a implementace cílové zóny.

Na co se cílová zóna mapuje v Azure v kontextu architektury cílové zóny Azure?

Z pohledu cílové zóny Azure jsou cílové zóny jednotlivé předplatná Azure.

Co znamená zásady správného řízení a jak to funguje?

Zásady správného řízení řízené zásadami jsou jedním z klíčových principů návrhu architektury na podnikové úrovni.

Zásady správného řízení znamenají použití služby Azure Policy ke zkrácení doby potřebné pro běžné a opakované provozní úlohy v rámci vašeho tenanta Azure. Použijte mnoho efektů azure Policy, jako Appendje , Deny, DeployIfNotExistsa Modify, abyste zabránili nedodržení předpisů tím, že omezíte prostředky, které nedodržují předpisy (jak je definováno definicí zásady), aby se vytvořily nebo aktualizovaly, nebo nasadili prostředky nebo upravili nastavení vytvoření prostředku nebo žádosti o aktualizaci, aby byly kompatibilní. Některé účinky, jako Auditje například , Disableda AuditIfNotExists, nezabrání ani neprovírají akce; pouze auditují a hlásí, že nedodržují předpisy.

Tady je několik příkladů zásad správného řízení:

• Deny efekt: Zabraňuje vytvoření nebo aktualizaci podsítí, aby k nim nebyly přidružené žádné skupiny zabezpečení sítě.

• DeployIfNotExists účinek: Vytvoří se nové předplatné (cílová zóna) a umístí se do skupiny pro správu v rámci nasazení cílové zóny Azure. Azure Policy zajišťuje, aby byl v předplatném povolený Microsoft Defender pro cloud (dříve Označovaný jako Azure Security Center). Nakonfiguruje také nastavení diagnostiky protokolu aktivit tak, aby odesílala protokoly do pracovního prostoru služby Log Analytics v předplatném pro správu.

  Místo opakování kódu nebo ručních aktivit při vytvoření DeployIfNotExists nového předplatného se definice zásady automaticky nasadí a nakonfiguruje pro vás.

Co když nemůžeme nebo ještě nejsme připraveni využít zásady DeployIfNotExists (DINE)?

Máme vyhrazenou stránku, která vás provede různými fázemi a možnostmi, které musíte buď "zakázat" zásady DINE, nebo použít náš třífázový přístup k jejich přijetí v průběhu času ve vašem prostředí.

Prohlédnutí pokynů pro přijetí ochranných mantinelí řízených zásadami

Měli bychom k nasazení úloh použít Azure Policy?

Stručně řečeno, ne. Pomocí Azure Policy můžete řídit, řídit a udržovat úlohy a cílové zóny kompatibilní. Není navržená k nasazení celých úloh a dalších nástrojů. Pomocí webu Azure Portal nebo nabídek infrastruktury jako kódu (šablony ARM, Bicep, Terraform) nasaďte a spravujte úlohy a získejte potřebnou autonomii.

Co jsou cílové zóny architektury přechodu na cloud pro Terraform (aztfmod)?

Open source projekt cílových zón architektury přechodu na cloud (označovaný také jako aztfmod) je projekt řízený komunitou vlastněný a udržovaný mimo základní tým cílové zóny Azure a organizaci Azure GitHubu. Pokud se vaše organizace rozhodne použít tento projekt operačního systému, měli byste zvážit podporu, která je dostupná, protože to je řízené úsilím komunity prostřednictvím GitHubu.

Co když už máme prostředky v cílových zónách a později přiřadíme definici služby Azure Policy, která je zahrnuje do svého oboru?

Projděte si následující části dokumentace:

• Přechod stávajících prostředí Azure na koncepční architekturu cílové zóny Azure – část Policy
• Rychlý start: Vytvoření přiřazení zásady k identifikaci nevyhovujících prostředků – část Identifikace nevyhovujících prostředků

Jak v architektuře cílové zóny Azure zpracováváme cílové zóny úloh pro vývoj/testování/produkční prostředí?

Další informace najdete v tématu Správa vývojových prostředí aplikací v cílových zónách Azure.

Proč jsme požádáni o zadání oblastí Azure během nasazení akcelerátoru cílových zón Azure a k čemu se používají?

Když nasadíte architekturu cílové zóny Azure pomocí portálu akcelerátoru cílových zón Azure, vyberte oblast Azure, do které se má nasadit. První karta Umístění nasazení určuje, kde jsou uložena data nasazení. Další informace najdete v tématu Nasazení tenanta pomocí šablon ARM. Některé části cílové zóny se nasazují globálně, ale metadata nasazení se sledují v místním úložišti metadat. Metadata týkající se jejich nasazení se ukládají v oblasti vybrané na kartě Umístění nasazení.

Selektor oblastí na kartě Umístění nasazení slouží také k výběru oblasti Azure, ve které oblasti se mají ukládat prostředky specifické pro danou oblast, jako je pracovní prostor služby Log Analytics a účet Automation, pokud je to potřeba.

Pokud nasadíte topologii sítě na kartě Síťová topologie a možnosti připojení , musíte vybrat oblast Azure, do které chcete síťové prostředky nasadit. Tato oblast se může lišit od oblasti vybrané na kartě Umístění nasazení .

Další informace o oblastech, které prostředky cílové zóny používají, najdete v tématu Oblasti cílové zóny.

Jak povolíme více oblastí Azure, když používáme architekturu cílové zóny Azure?

Informace o tom, jak přidat nové oblasti do cílové zóny nebo jak přesunout prostředky cílové zóny do jiné oblasti, najdete v tématu Oblasti cílové zóny.

Měli bychom vytvořit nové předplatné Azure pokaždé, nebo bychom měli znovu použít předplatná Azure?

Co je opětovné použití předplatného?

Opětovné použití předplatného je proces opětovného použití existujícího předplatného novému vlastníkovi. Měl by existovat proces resetování předplatného do známého čistého stavu a následné opětovné přiřazení novému vlastníkovi.

Proč je vhodné znovu použít předplatná?

Obecně doporučujeme, aby zákazníci přijali princip návrhu demokratizace předplatného. Existují však konkrétní okolnosti, kdy opětovné použití předplatného není možné nebo nedoporučuje.

Tip

Podívejte se na video YouTube o principu návrhu demokratizace předplatného tady: Cílové zóny Azure – Kolik předplatných mám použít v Azure?

Pokud splňujete jednu z následujících okolností, měli byste zvážit opakované použití předplatného:

• Máte smlouva Enterprise (EA) a plánujete vytvořit více než 5 000 předplatných na jednom účtu vlastníka účtu EA (fakturační účet), včetně odstraněných předplatných.
• Máte Smlouva se zákazníkem Microsoftu (MCA) nebo Smlouva s partnerem Microsoftu MPA a plánujete mít více než 5 000 aktivních předplatných.
• Jste zákazník s průběžnou platbou
• Používáte nabídku Microsoft Azure Sponsorship.
• Běžně vytváříte:
  1. Dočasné testovací prostředí nebo prostředí sandboxu
  2. Ukázková prostředí pro testování konceptu (POC) nebo minimální realizovatelné produkty (MVP), včetně nezávislých dodavatelů softwaru (ISV) pro ukázku nebo zkušební přístup zákazníka
  3. Trénovací prostředí, jako jsou msps/learner environment

Návody znovu použít předplatná?

Pokud odpovídáte některému z výše uvedených scénářů nebo aspektů, možná budete muset zvážit opětovné použití stávajících vyřazených nebo nepoužívaných předplatných a jejich opětovné přiřazení novému vlastníkovi a účelu.

Vyčištění starého předplatného

Nejprve je potřeba vyčistit staré předplatné, aby bylo znovu použito. Abyste mohli předplatné znovu použít, musíte u předplatného provést následující akce:

• Odeberte skupiny prostředků a obsažené prostředky.
• Odeberte přiřazení rolí, včetně přiřazení rolí PIM (Privileged Identity Management) v oboru předplatného.
• Odeberte vlastní definice řízení přístupu na základě role (RBAC) v oboru předplatného.
• Odeberte definice zásad, iniciativy, přiřazení a výjimky v oboru předplatného.
• Odeberte nasazení v oboru předplatného.
• Odeberte značky v oboru předplatného.
• Odeberte všechny zámky prostředků v oboru předplatného.
• Odeberte rozpočty služby Microsoft Cost Management v oboru předplatného.
• Resetujte plány Microsoft Defenderu pro cloud na úrovně Free, pokud nejsou požadavky organizace na tyto protokoly nastavené na placené úrovně. Tyto požadavky obvykle vynucujete prostřednictvím služby Azure Policy.
• Odeberte protokoly aktivit předplatného (nastavení diagnostiky) předávané do pracovních prostorů služby Log Analytics, služby Event Hubs, účtu úložiště nebo jiných podporovaných cílů, pokud požadavky organizace neposílaly tyto protokoly, když je předplatné aktivní.
• Odeberte všechny delegování Azure Lighthouse v oboru předplatného.
• Odeberte všechny skryté prostředky z předplatného.

Tip

Použití Get-AzResource nebo az resource list -o table zacílení na obor předplatného vám pomůže najít všechny skryté nebo zbývající prostředky, které se mají před opětovným přiřazením odebrat.

Opětovné přiřazení předplatného

Po vyčištění předplatného můžete předplatné znovu přiřadit. Tady je několik běžných aktivit, které můžete chtít provést jako součást procesu opětovného přiřazení:

• Přidejte nové značky a nastavte hodnoty pro ně v předplatném.
• Přidejte nová přiřazení rolí nebo přiřazení rolí PIM (Privileged Identity Management) v oboru předplatného pro nové vlastníky. Obvykle se tato přiřazení týkají skupin Microsoft Entra místo jednotlivců.
• Podle požadavků zásad správného řízení umístěte předplatné do požadované skupiny pro správu.
• Vytvořte nové rozpočty služby Microsoft Cost Management a nastavte upozornění na nové vlastníky při splnění prahových hodnot.
• Nastavte plány Microsoft Defenderu pro cloud na požadované úrovně. Toto nastavení byste měli vynutit prostřednictvím služby Azure Policy po umístění do správné skupiny pro správu.
• Nakonfigurujte protokoly aktivit předplatného (nastavení diagnostiky) předávání do pracovních prostorů služby Log Analytics, služby Event Hubs, účtu úložiště nebo jiných podporovaných cílů. Toto nastavení byste měli vynutit prostřednictvím služby Azure Policy po umístění do správné skupiny pro správu.

Co je suverénní cílová zóna a jak souvisí s architekturou cílové zóny Azure?

Suverénní cílová zóna je součástí Microsoft Cloudu pro suverenitu, která je určená pro zákazníky veřejného sektoru, kteří potřebují pokročilé kontroly suverenity. Jako přizpůsobená verze koncepční architektury cílové zóny Azure odpovídá suverénní cílová zóna možnostem Azure, jako je rezidence služeb, klíče spravované zákazníkem, Azure Private Link a důvěrné výpočetní prostředí. Díky tomuto sladění vytvoří suverénní cílová zóna cloudovou architekturu, ve které data a úlohy ve výchozím nastavení nabízejí šifrování a ochranu před hrozbami.

Poznámka:

Microsoft Cloud for Sovereignty se zaměřuje na vládní organizace s potřebami suverenity. Měli byste pečlivě zvážit, jestli potřebujete možnosti Microsoft Cloudu pro suverenitu, a teprve pak zvažte přijetí architektury suverénní cílové zóny.

Další informace o suverénní cílové zóně najdete v tématu Důležité informace o suverenitě cílových zón Azure.